Comparar a ISO/IEC 27001:2022

com a ISO/IEC 27001:13

Quais são as alterações?
Um Documento de Orientação
 A ISO/IEC 27001:2022 foi
publicada em outubro de 2022.
Este guia contempla as
alterações na ISO/IEC
27001:2022 face à ISO/IEC
27001:2013.
1 Título
O título da edição da ISO/IEC 27001 mudou para Segurança da Informação,
Cibersegurança e Proteção da Privacidade - Sistemas de Gestão da Segurança
da Informação - Requisitos. Assim, alinha-se com o título da ISO/IEC 27002:2022
(Segurança da Informação, Cibersegurança e Proteção da Privacidade - Controlos de
Segurança da Informação).
2 Numeração das cláusulas
2.1 FORAM INTRODUZIDAS NOVAS SUBCLÁUSULAS NA ISO/IEC 27001:2022.
NOVAS SUBCLÁUSULAS
6.3 Planeamento de mudanças
9.2.1 Geral
9.2.2 Programa de auditoria interna
9.3.1 Geral
9.3.2 Inputs de revisão da gestão
9.3.3 Resultados da revisão da gestão
A introdução das novas cláusulas contribuiu para a harmonização da estrutura do
documento com outras normas de sistema de gestão, p.e., ISO 9001:2015, ISO
22301:2019.

2.2 A ORDEM DE DUAS NOVAS SUBCLÁUSULAS FOI TROCADA

ISO/IEC 27001:2022 ISO/IEC 27001:2013
SUBCLÁUSULA SUBCLÁUSULA
Não-conformidade e ação
10.1 Melhoria contínua 10.1
corretiva
Não-conformidade e ação
10.2 10.2 Melhoria contínua
corretiva
Apesar disso, não há alteração aos requisitos das subcláusulas.

2 Comparar a ISO/IEC 27001:2022 com a ISO/IEC 27001:2013. Quais são as alterações?

 3 Novos textos
3.1 FORAM INTRODUZIDOS NOVOS TEXTOS NA ISO/IEC 27001:2022.

CLÁUSULA NOVO REQUISITO NOTAS DA SGS

4.2 Compreender A organização deverá determinar:
as neces- a) ......
sidades e b) .....
expetativas das c) quais destes requisitos devem ser abordados através do
partes interes- sistema de gestão da segurança da informação.
sadas

4.4 Sistema de A organização deverá estabelecer, implementar, manter e Estes textos também estão incluindos
gestão da melhorar continuamente o sistema de gestão da segurança da em outras normas de sistema de gestão,
segurança da informação, incluindo os processos necessários e as suas p.e., ISO 9001:2015, ISO 22301:2019.
informação interações, em concordância com.....

5.1 Liderança e Requisitos inalterados, nova nota adicionada abaixo

Compromisso Nota - As referências a ‘negócio’ neste documento podem ser
interpretadas em sentido lato para significar as atividades que
são essenciais para o propósito de existência da organização.

5.3 Papéis orga-

nizacionais,
responsabili-
dades e autori-
dades
6.2 Objetivos de Os objetivos de segurança da informação deverão: Para a alínea d), os novos textos foram
segurança da também incluídos em outras normas de
informação e a) ......; sistema de gestão, p.e., ISO 9001:2015,
planeamento b) ......; ISO 22301:2019.
para os atingir c) ......;
d) ser monitorizados;
e) ......;
f) ......;
g) ser disponibilizados como informação documentada.

6.3 Planeamento Esta é uma nova subcláusula. Não aparece na edição de 2013. A Esta é, na verdade, uma mudança
de mudanças 6.3 afirma que 'Quando a organização determina a necessidade consideravelmente grande.
de mudanças ao sistema de gestão de segurança da informação,
estas devem ser executadas de modo planeado".

7.4 Comunicação A organização deverá determinar a necessidade para ...... Entretanto, os requisitos da ISO/IEC
comunicações ....... incluindo: 27001:2013, cláusula 7.4
a).......; d) quem deve comunicar; e
b).......; e) os processos pelos quais as comuni-
c)........; cações devem ser efetuadas
d) como comunicar são removidos.

8.1 Operational A organização deverá planear, implementar e controlar os pro- Os novos requisitos também estão
planning cessos ........ ao: incluídos noutras normas de gestão
and control - estabelecer critérios para os processos; de sistema, p.e., ISO 9001:2015, ISO
- implementar o controlo dos processos em concordância 22301:2019.
com os critérios.

3 Comparar a ISO/IEC 27001:2022 com a ISO/IEC 27001:2013. Quais são as alterações?

 CLÁUSULA NOVO REQUISITO NOTAS DA SGS
9.1 Monitorização, organização deverá determinar: Era uma nota no ISO/IEC 27001:2013,
medição, a) .......; cláusula 9.1. b).
análise e b)........ Os métodos selecionados devem produzir
avaliação resultados comparáveis e reprodutíveis para serem
considerados válidos;
c) .......;

9.3.2 Inputs da A revisão da gestão deverá incluir a consideração de:

revisão da a) ....;
gestão b) ....;
c) alterações nas necessidades e expectativas das partes
interessadas que sejam relevantes para o sistema de gestão
da segurança da informação;
d) ....;
Apesar de terem sido adicionados e reorganizados novos textos, estes apenas clarificam os requisitos e não acrescentam novos
requisitos à norma.

4 Anexo A
O título do Anexo A é alterado para
“Referência dos controlos de segurança
da informação”. Além disso, os controlos
também foram revistos para se alinharem
com a ISO/IEC 27002:2022.
Não obstante, como no caso da versão de
2013, apenas a descrição dos controlos
é derivada da ISO/IEC 27002:2022. No
Anexo A da ISO/IEC 27001:2022 não estão
incluídos outros elementos presentes na
ISO/IEC 27002:2022, como o propósito e
características dos controlos. As organi-
zações que implementem a ISO/IEC 27001
deverão consultar a norma de orientação
para melhor compreender a informação dos
controlos de segurança.

5 Outras Alterações
CLÁUSULA ISO/IEC 27001:2022
4.1 Compreender a Nota: Determinar estas questões
organização e o seu refere-se ao estabelecimento do
contexto contexto externo e interno para a
organização, considerado na
Cláusula 5.4.1 da ISO
31000:2018
5.1 Liderança e Nota: “As referências a “negócio”
compromisso neste documento podem ser
interpretadas em sentido lato para
significar aquelas atividades que
são essenciais ao propósito da
existência da organização.”
5.3 Papéis na organi- A alta gestão deverá assegurar
zação, responsabili- que as responsabilidades e auto-
dades e autoridades ridades para os papéis relevantes
à segurança da informação são
atribuídos e comunicados dentro
da organização.
ISO/IEC 27001:2013
Nota: Determinar estas questões
refere-se ao estabelecimento do
contexto externo e interno para a
organização, considerado na
Cláusula 5.3 da ISO
31000:2009.
Não existente.
A alta gestão deverá assegurar
que as responsabilidades e auto-
ridades para os papéis relevantes
à segurança da informação são
atribuídos e comunicados.
NOTAS DA SGS
A referência da ISO 31000 na nota é
atualizada para a nova edição da ISO
31000
Uma nova nota adicionada na ISO/
IEC FDIS 27001, cláusula 5.1.
A ISO/IEC 27001:2022 especifica
que as responsabilidades e autori-
dades da segurança de informação
devem ser comunicadas dentro da
organização.
A comunicação com entidades
externas à organização é abordada
no ponto 7.4.

4 Comparar a ISO/IEC 27001:2022 com a ISO/IEC 27001:2013. Quais são as alterações?

 CLÁUSULA ISO/IEC 27001:2022
6.1.3 Tratamento do Nota 2: O Anexo A contém uma
risco de segurança lista de possíveis controlos de
da informação segurança da informação.
8.1 Planeamento e A organização deverá planear, im-
controlo operacional plementar e controlar os proces-
sos necessários ao cumprimento
dos requisitos e para implemen-
tar as ações determinadas na
Cláusula 6.
A organização deverá assegurar
que os processos, produtos ou
serviços fornecidos externa-
mente que sejam relevantes para o
sistema de gestão da segurança da
informação são controlados.
9.1 Monitorização, Todas as três (sub-) cláusulas 9.1/
medição, análise e 9.2.2/ 9.3.3
avaliação
Informação documentada deverá
9.2.2 Programa de ser disponibilizada, como prova
auditoria interna de.......
9.3.3 Resultados de
revisão da gestão
5 Comparar a ISO/IEC 27001:2022 com a ISO/IEC 27001:2013. Quais são as alterações?
ISO/IEC 27001:2013
Nota 1: O Anexo A contém uma
lista abrangente dos objetivos de
controlo e controlos.
A organização deverá planear,
implementar e controlar os
processos necessários ao
cumprimento dos requisitos de
segurança da informação e para
implementar as ações deter-
minadas no 6.1. A organização
deverá implementar planos para
alcançar os objetivos de segu-
rança da informação, determina-
dos no 6.2.
A organização deverá assegurar
que os processos subcontrata-
dos são determinados e contro-
lados.
A organização deverá reter
informação documentada, como
prova de........
NOTAS DA SGS
A nota é reescrita para que os con-
trolos de segurança da informação
listados no Anexo A sejam uma lista
de possíveis controlos de segurança
da informação, ao invés de uma lista
abrangente. Clarifica que os contro-
los do Anexo A não são exaustivos
e informação adicional sobre os
controlos de segurança podem ser
incluídas, conforme mencionado na
segunda nota da cláusula.
As frases na cláusula 8.1. são
reescritas, mas os requisitos
permanecem inalterados.
Alguns serviços de segurança da
informação, como centros de dados
ou serviços cloud são categoriza-
dos apropriadamente como sendo
fornecidos externamente em vez de
subcontratado.
Além disso, o novo requisito
menciona explicitamente “produtos”
- inclui produtos tangíveis utiliza-
dos (p.e. impressoras, scanners,
servidores, equipamento de rede,
câmaras de vídeo, etc).
A frase relativa aos requisitos de
informação documentada é reescri-
ta, mas os requisitos permanecem
inalterados.
 6 Conclusão
Conforme esperado, o Anexo A foi revisto para se alinhar com os controlos de
segurança da informação na ISO/IEC 27002:2022. Esta é a alteração mais significativa
à ISO/IEC 27001:2022. As alterações nas cláusulas 4 a 10 são atualizações editoriais
pequenas para harmonizar a sua estrutura com outras normas de sistema de gestão.
A transição para a nova edição vai requerer esforços moderados das organizações que
já são certificadas pela ISO/IEC 27001:2013. Os esforços poderão incluir uma revisão
às políticas internas, em concordância com as novas subcláusulas e com os requisitos
modificados, bem como os resultados da avaliação dos riscos e o plano de tratamento
dos riscos, em conformidade com a norma ISO/IEC 27001:2022, Anexo A.

6 Comparar a ISO/IEC 27001:2022 com a ISO/IEC 27001:2013. Quais são as alterações?

© SGS Société Générale de Surveillance SA – 2022 – All rights reserved - SGS is a registered trademark of SGS Société Générale de Surveillance SA

WWW.SGS.COM
WWW.SGS.COM/PT-PT